L apport de la fonction Risk Management pour une meilleure Qualité et Productivité sur le lieu de travail

Transcription

1 L apport de la fonction Risk Management pour une meilleure Qualité et Productivité sur le lieu de travail «les abîmes de l infini semblent organisés» 0 Introduction Une étude récente de l'agence Européenne pour la sécurité et la santé au travail, anticipe l émergence d ici quelques années des risques psychologiques liés à la santé sur le lieu du travail. Nous allons tenter de passer en revue les caractéristiques majeures d un environnement de travail stable et en constante amélioration de la qualité et la productivité. Il est possible d atteindre un tel objectif à travers deux efforts : un Plan de Continuité d'activité (PCA) 1 mis en place par son employeur, et une bonne maîtrise des risques liés à la santé, à la sécurité et à l'environnement, au sens QHSE (Qualité Hygiène Sécurité et Environnement). Un bon exemple de ces derniers se matérialise dans le risque des rayonnements électromagnétiques 2. Alors que le PCA a pour vocation d'éliminer l effet de certains des risques qui provoqueraient un arrêt des fonctions critiques de l Entreprise, en assurant la continuité de celles-ci et la survie de l Organisation, la maîtrise des risques QHSE a pour finalité d'évaluer l impact de ces risques et de trouver d'éventuelles solutions pour les réduire. Dans les deux cas de figure, il y a un passage obligé par les techniques de modélisation des risques et leur gestion. Si nous essayons de classifier les différentes menaces qui entourent toute entreprise, parmi celles les plus connues ou sous de nouvelles formes de manifestations, sur une échelle de probabilité adaptée à chaque écosystème, d origine naturelle ou provoquée par l homme, le processus de gestion de la crise qui va en découler reste incontestablement identique. En effet, les catastrophes liées aux virus transmis par le moustique Chikungunya, ou les épizooties de H5N1, les attentats terroristes, ou sabotage et désorganisation sociale... ils ont tous cela en commun : une situation de crise et la mise de l Organisation en situation de «KO», d une ampleur variable, avec des moyens humains et matériels perturbés, et des biens de l entreprise en danger. En parallèle, pour l observateur externe l'organisation paraît à ces moments précis d un niveau de vulnérabilité maximal, et sa réputation en danger. Pour la fonction juridique, la situation provoquerait un déséquilibre dans ses engagements contractuels et une non-performance, avec l extinction souhaitable de certaines obligations. Une armada de dispositions liées à la couverture du cas de la "force majeure" tenteraient de contrôler de telles situations extrêmes, où par effet domino presque toutes les parties d'un contrat pourraient être impactées. 0 Balzac : Lettre à Monsieur Charles Nodier, article intitulé «De la palingénésie humaine», Œuvres diverses. 1 Le PCA ou le PRA (Plan de Reprise d Activités) est un ensemble pré-défini et pré-approuvé de procédures et de documents qui identifient les ressources, les mesures, les tâches, les données et les priorités requises pour gérer la continuité des services et le processus de rétablissement à la suite d une longue interruption. Voir définition sur le site du DRII le Disaster Recovery Institute International ( 2 La famille des risques classifiée dans la «Electromagnetic Compatibility and Radiation Exposure Risks».

2 L importance d un PCA Les événements du 11 septembre 2001 au World Trade Center ont révélé la face vulnérable des organisations face à l imprévisible. Sabotage, incendie, coupure électrique, virus, les sinistres qui menacent l'entreprise peuvent prendre des formes très variées. Les conséquences de ces incidents peuvent être considérables, tant sur le plan humain que financier. Une récente analyse montre que 43% des entreprises ayant subi un grave sinistre arrêtent leur activité immédiatement 3. A titre d exemple, pour une entreprise fortement dépendant des réseaux de communication TCP/IP, les conséquences de la non-disponibilité de ceux-ci peuvent aller du simple désagrément jusqu au préjudice : fermeture de son site Internet sur une longue période, interruption de son centre d appels, inaccessibilité de la messagerie électronique et de la téléphonie voix/ip, indisponibilité de son système de télésurveillance, blocage de son système de facturation et de paiement, corruption des données dans sa base de données 4. Certaines de ces préoccupations représentent des vraies menaces dans de nombreuses régions dans le monde, y compris en Europe. Dans un autre secteur, la banque-finance, une enquête menée par le comité de surveillance de Bâle 5 auprès de 89 banques dans 19 pays, a recensé événements sur l année Les dommages subis seraient supérieurs à Euros par événement 6. Par définition, nous appelons un sinistre tout événement soudain, calamiteux et imprévu qui produit des faits dommageables pour soi et pour autrui. Ces faits sont de nature à mettre en péril partiellement ou totalement une organisation, allant de la simple perturbation jusqu à la perte physique des biens de celle-ci 7. Dans une situation de sinistre la plupart des ressources de l entreprise (ressources humaines, bâtiments, biens de production et en particulier le système d information ainsi que les données) se trouveront inaccessibles. D où l intérêt de prévoir un site de secours distant, disposant de ces mêmes ressources ou équivalentes, et permettant une reprise des activités et repli du personnel rapides. Outre son intérêt économique (perte du chiffre d affaires, atteinte à l image de marque) la continuité des services est rendue obligatoire par le législateur dans certains secteurs. En effet, certains règlements européens imposent la nécessité d apporter l assurance de la survie de l entreprise en cas de sinistre 8 renforçant l observation de règles spécifiques 9. Par ailleurs, une 3 Analyse menée par l Université d Austin (Texas) en juin 2004, et qui montre que 51% des entreprises ayant subi un grave sinistre déposent leur bilan dans les deux années qui suivent l événement. Seules les 6% survivent. 4 Ce sont pour la plupart des risques prévisibles avec une probabilité associée. Les catastrophes naturelles telles que les ouragans, les incendies de forêt ou inondations dans certaines zones géographiques permettent d appréhender les risques et d adopter des stratégies d anticipation. 5 Une enquête menée par le Basel Committee of Banking Supervision, «Public Disclosures by Banks : results of the 2001 Survey» publiée en mai 2003 par le Bank for International Setlements. 6 Voir les Annexes no. 3, à propos des dommages subis par les établissements bancaires en Voir la définition officielle de Disaster Recovery Institute International (DRII) et le classement des sinistres, respectivement sur et 8 Voir les travaux de la Commission Européenne A New Legal Framework For Payments in the internal Market. 9 Voir International Convergence of Capital Measurement and Capital Standards, a Revised Framework, du comité de Bâle 2.

3 série d autres obligations s applique dans les domaines de la comptabilité, la protection des biens et la communication vers les actionnaires. Dans une hypothèse où les ressources humaines et biens de toute nature (l informatique n étant qu un élément) se trouveraient opérationnels en situation post-sinistre, il est indéniable l intérêt que représente un PCA sur la qualité et la productivité au quotidien, et en particulier sur son lieu de travail. Sentiments à opposer à une situation de travail dans un environnement risqué avec des inquiétudes sur la survie de son entreprise suite à une situation extrême. Le manque de confiance et le sentiment d abandon étant l exemple des conséquences sur le moral des employés à éviter. Le traitement des risques QHSE Pour les processus au sein des organisations qui cherchent à éliminer ou atténuer l effet des risques, les actifs ne sont pas limités - et ne doivent pas l être aux seuls biens informationnels et outils de productivité que nous venons d évoquer, tels que les bâtiments, les machines, les salles informatiques, ou le flux de contrats, du passif, et de la propriété intellectuelle. Les ressources humaines en constituent la clé de voute et l élément principal faisant partie du grand tableau de la matrice des risques. A titre d exemple, nous pouvons citer dans notre étude une série de risques liés aux technologies de communication sans fil et dispositifs tels que le GSM, le Wifi et d'autres risques de radiations en raison de fréquences extrêmement basses (ELF), tels que le rayonnement des câbles électriques de lignes de haute tension. Certains scientifiques internationaux ont exprimé leurs préoccupations concernant les champs électromagnétiques et les technologies sans fil qui pourraient présenter des risques pour la santé de la population. Cela ne surprendra personne aujourd'hui l'avis de la communauté scientifique qui s accorde sur des risques sur la santé humaine des possibles effets des champs électromagnétiques. Il y a actuellement un niveau de préoccupation au sujet de l'exposition aux ondes de la Radio-Fréquence (RF) qui ne peut pas être vérifié par des données scientifiques existantes. Il est vrai que les données concernant les effets biologiques sont incomplètes et incohérentes. Les conséquences sur la santé de ces données restent inconnues. En fait, les données épidémiologiques ne démontrent pas de résultats qui indiquent un rôle de cause à effet dû aux expositions à des champs RF dans le cadre de toutes les maladies humaines (cancer, immunité, dommages à l'adn, etc.). Ces résultats ne peuvent pas établir l'absence de tout risque non-plus, et indiquent que dans certaines situations des effets détectés doivent être mineurs sur la santé. La fonction Risk Management de l'entreprise doit rester en veille et informer la population sur ces risques, et de proposer des programmes de sensibilisation et de formation. Au-delà de la vie professionnelle de tous les jours les environnements, les employés doivent faire preuve de prudence partout, y compris à leur domicile. Comme d'autres types de risques, une fois évalués, les risques QHSE pourraient être atténués avec des moyens et solutions efficaces.

4 La santé, la sécurité et le bien-être au travail sont protégés par la loi, l'employeur a le devoir de protéger et de garder les personnes informées sur la santé et la sécurité. Tant l'employeur et les employés ont des responsabilités à respecter. Observons quelques aspects de notre quotidien, lors des déplacements en transport collectif par exemple. Nous pouvons faire le constat d une certaine exposition à ces risques précités. Comment vivre dans un environnement moderne exposé à ces risques tout en maintenant un bon niveau de qualité et productivité? C est précisément le défi auquel nous sommes confrontés. L équation adéquate dépendra du comment trouver les parades pour prendre des niveaux de risques acceptables tout en garantissant un certain niveau de confort. Nous nous attendons à un rôle actif de la réglementation et des programmes de sensibilisation. Ces programmes doivent atteindre tous les niveaux des organisations, qu'elles soient publiques ou privées. En outre, des projets ambitieux de Recherche & Développement sous des pressions des consommateurs et les professionnels de la santé devraient conduire à une société plus prudente et responsable, ainsi que des citoyens bien éduqués. Cela devrait contribuer à l'amélioration des bonnes pratiques et l adoption de nouvelles normes industrielles. La maîtrise des risques et la fonction Risk Management L'une des phases principales de l implémentation d'un PCA passe par l'analyse détaillée des risques et des contrôles, suivi par une étude d impact où les fonctions sensibles de l'entreprise seront passées au peigne fin (étude dite Business Impact Analysis). Par définition un risque est l'exposition à la perte, ou le potentiel de perte. La menace est l'événement qui provoque une vulnérabilité qui peut se matérialiser par une perte réelle pour les actifs de l'entreprise. En termes plus généraux, le risque donne une indication de l'événement indésirable. Il s'agit d'une mesure de la probabilité d'une perte. L analyse des risques est la discipline de la détermination de la probabilité et l'impact des différents risques. Le schéma ci-dessous représente le diagramme de la cause et effet impliqués dans tout risque. La mesure de l impact permettra d identifier une liste de fonctions critiques qu il faille protéger.

5 L a re la tio n C a u s e e t E ffe t R e s s o u r c e s M e n a c e s V u ln é r a b ilité s R is q u e s C a u s e P r o b a b ilit é E f f e t ( Im p a c t) La fonction Risk Management permet l'identification des menaces à des éléments critiques, les facteurs de vulnérabilité des éléments critiques. Elle s attache à identifier et analyser l'efficacité des contrôles et de recommander la mise en œuvre de contrôles supplémentaires afin d'atténuer et de réduire les risques. Le schéma ci-après illustre une matrice de risques synthétique, issue des travaux que nous venons de mentionner : Im p act s i la m e n a c e s e réa lise E levé M oyen B as Probabilité que la menace se réalise Elevé Moyen Bas IN T O L E R A B L E R éd u ire n ivea u d u risqu e + P C A né cessa ire N O N -A C C E P T A B L E R éd u ire n ivea u d u risqu e + P C A n é ce ssaire IN E V IT A B L E U n P C A e st so uh aita ble N O N -A C C E P T A B L E R éd u ire n ivea u d u risqu e + P C A n éce ssa ire U n e cou verture d u risq ue est n éce ssa ire T O L E R A B L E C ou verture pa r u n e p olice d a ssura n ce «IR R IT A N T» E lim ina tion du R isqu e sou ha itab le T O L E R A B L E R isq u e à g ére r T O L E R A B L E O n p e ut vivre a vec le risqu e

6 Conclusions Un proverbe chinois dit que "de nouvelles possibilités sont toujours présentes au milieu de chaque crise». En effet, en analysant la racine du mot d origine grecque «crise» on trouve deux éléments intimement liés : le danger et l opportunité. Les événements douloureux du World Trade Center ont donné une autre image de notre société qui se caractérise par deux adjectifs «vulnérable» et «imprévisible». Ils ont également renforcé l'idée de re-penser à la survie des organisations, car les conséquences de ces catastrophes pourraient être considérables à la fois sur le plan humain et financier. Il pourrait par conséquent être intéressant d analyser la continuité au sens PCA comme une opportunité pour tout organisme, tous secteurs confondus, public ou privé, pour se prémunir contre tout événement externe en anticipation sur des risques potentiels. La gestion des risques ne cherche pas à éliminer tous les risques. Certains risques nous nous sentons heureux de vivre avec. Comme nous l avons vu, l approche pourrait être différente pour le domaine QHSE, où le but serait simplement d'obtenir l optimisation durable de l équation risque / gain de productivité. Quant à la responsabilité publique, il est nécessaire d'offrir aux citoyens un environnement sécuritaire. Cela suppose une capacité d'identifier, d'évaluer, de contrôler et de financer des risques de manière efficace. Regardons autour de nous : nous ne cessons de vivre avec des risques, nous en prenons, nous les différons, les transformons ou les transférons à des tiers. Quelle que soit la raison des menaces actuelles prévisibles ou non, une bonne approche de la gestion des risques permet l'identification et l'évaluation des risques, et en fin de compte un Plan de Continuité d'activité pourrait être un excellent mécanisme de contrôle. Ainsi, il est possible de faire des six lettres «risque», un déclencheur pour atteindre des niveaux plus élevés d opportunités, en offrant à une entreprise la capacité à prendre des risques plus sélectifs et plus intelligemment - que ses concurrents. À long terme, tous ces efforts contribueront au bien-être des individus et ainsi améliorer la qualité et la productivité au travail. A ce stade, nous devons convenir que la fonction de gestion des risques devrait maintenir en permanence les risques QHSE sur son écran radar. Au-delà de l'action éducative et les normes industrielles, le bon sens ne doit pas être écarté. La plupart des entreprises sont déjà conformes en ce qui concerne le câblage et l'infrastructure, ce qui signifie moins de préoccupations pour la santé des risques liés à ces domaines. De la même manière que nous avons tous tendance à éteindre les lumières la nuit, est-il si difficile d'arrêter l'équipement Wifi et les téléphones mobiles en se couchant? Quelques références utiles Centres for Disease Control and Prevention (CDC) and the National Institute for Occupational Safety and Health (NIOSH). COSO Enterprise Risk Management - Integrated Framework: Executive Summary. The Institute of Internal Auditors. The EMR requirements and ACMA Radio-communications Standard 2003

7 Electromagnetic Radiation Human Exposure and Compliance Labelling Electromagnetic Radiation. Environmental Health & Safety - University of Guelph (Canada) Extremely Low Frequency (ELF) Radiation and Safety Programs. OSHA. U.S. Departement of Labor, Occupational Safety & Health Administration (OSHA). The Federal Communications Commission (FCC). Fact Sheet on Placement of Antennas. General Clinical Research Center - Medical College of Wisconsin. The NACD Blue Ribbon Commission on Risk Oversight. Board Lessons for Turbulent Times. The National Association of Corporate Directors. Radiofrequency and Microwave Radiation Standards. U.S. Departement of Labor, Occupational Safety & Health Administration (OSHA). The 20 Questions Directors should ask about Risk, The Chartered Accountants of Canada. American Industrial Hygiene Association (AIHA). Expanded Position statement on extremely low frequency Electric and Magnetic Fields. The ARPANSA (Australian Radiation Protection and Nuclear Safety Agency) Radiation Protection Standard. Maximum Exposure Levels to Radiofrequency Fields 3 khz to 300 GHz. gov.au/ The Australian Communications and Media Authority (ACMA). Basel II International Convergence of Capital Measurement and Capital Standards Revised Framework. June Loi pour la Confiance dans l Economie Numérique (LCEN) [French] du 21 juin 2004, J.O. de la République française no.143 du 22/06/2004 p The Sarbanes-Oxley Act, Corporate accountability law, section 802.

8 L auteur Grégoire Soukiassian est un responsable de missions au sein de l AFTIM, en charge des relations avec les Risk Managers. Membre actif de l'organisme DRII (Disaster Recovery Institute International) et spécialisé en Continuité et Gestion des Crises. Travaux de recherche en collaboration avec des universités en France et en Finlande. Ses domaines d'expertise couvrent : - l architecture des Système d'information - l analyse des risques (techniques, opérationnels, juridiques et financiers) et implémentation de stratégies de Plans de Continuité - la définition et revue des niveaux d'engagement de services (SLA)